Nouvelle campagne malveillante ODS

Opération Diplomatic Spectre : Une Menace Chinoise APT Ciblant des Entités Politiques.

Le 24 mai 2024, l’équipe de chercheurs de Symantec Broadcom a révélé une nouvelle campagne malveillante baptisée “Opération Diplomatic Spectre” (ODS).

Cette campagne, orchestrée par un groupe chinois de menaces persistantes avancées (APT), cible spécifiquement des entités politiques au Moyen-Orient, en Afrique et en Asie. Cette attaque sophistiquée a mis en lumière de nouvelles techniques et outils malveillants utilisés pour compromettre des serveurs et exfiltrer des données sensibles.

Cibles et Méthodes d’Attaque

Les principales cibles de l’Opération Diplomatic Spectre sont des entités politiques et diplomatiques. Les attaquants exploitent des vulnérabilités connues des serveurs Microsoft Exchange pour obtenir un accès initial. Les vulnérabilités spécifiques utilisées comprennent ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), toutes deux répertoriées dans le catalogue des vulnérabilités exploitées connues (KEV) de la CISA.

CVE-2021-26855 : Une vulnérabilité d’exécution de code à distance (RCE) qui permet aux attaquants de contourner les contrôles d’accès en utilisant des URL spécifiques, compromettant ainsi les serveurs Microsoft Exchange.

CVE-2021-34473 : Une autre vulnérabilité RCE affectant les serveurs Microsoft Exchange, actuellement en cours de réévaluation par le National Vulnerability Database (NVD).

Techniques d’Exfiltration et Nouveaux Outils

Les chercheurs de Symantec ont identifié l’utilisation de nouvelles familles de portes dérobées, nommées TunnelSpecter et SweetSpecter, permettant aux attaquants de maintenir un accès persistant et de subtiliser des données sensibles. Les attaquants se sont concentrés sur des mots-clés spécifiques liés aux opérations militaires, réunions, sommets et affaires géopolitiques, exfiltrant des boîtes de réception complètes et d’autres informations cruciales.

Détection et Protection

Symantec et d’autres fournisseurs de sécurité ont mis en place des mesures pour détecter et bloquer les indicateurs malveillants associés à cette campagne. Les produits VMware Carbon Black, par exemple, intègrent des politiques existantes pour bloquer l’exécution de logiciels malveillants et retarder les analyses en cloud pour optimiser la réputation du service VMware Carbon Black Cloud.

De plus, les clients de Palo Alto Networks bénéficient d’une protection renforcée grâce à plusieurs couches de sécurité, incluant la protection anti-exploit via Cortex XSIAM, les pare-feu de nouvelle génération (NGFW), ainsi que l’intégration avec Prisma Cloud Compute et WildFire.

Conclusion

L’Opération Diplomatic Spectre représente une menace significative pour les entités politiques dans les régions ciblées. Grâce aux efforts des chercheurs en cybersécurité et aux solutions de protection avancées, les entreprises et institutions peuvent se prémunir contre ces attaques sophistiquées. Il est crucial de maintenir une vigilance constante et de mettre à jour régulièrement les systèmes de sécurité pour faire face à ces menaces en constante évolution. Symantec et d’autres fournisseurs de sécurité continuent de surveiller activement cette campagne et de fournir des mises à jour et des recommandations pour aider à protéger leurs clients contre cette menace persistante.

A propos de l'auteur

Retour en haut